Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
высокой меткой конфиденциальности в объекты с низкой меткой конфиденциальности (противодействие созданию каналов передачи информации «сверху вниз»).
Для мандатного управления доступом к объектам КС формально доказано следующее важное утверждение: если начальное состояние КС безопасно и все переходы из одного состояния системы в другое не нарушают правил разграничения доступа, то любое состояние КС также безопасно.
Достоинствами мандатного управления доступом к объектам КС также являются:
более высокая надежность работы самой КС, так как при раз
граничении доступа к объектам контролируется и состояние са
мой системы, а не только соблюдение установленных правил;
большая простота определения правил разграничения досту
пом по сравнению с дискреционным управлением (эти правила
более ясны для разработчиков и пользователей КС).
Продолжим приведенный ранее пример с использованием нарушителем программной закладки, обеспечивающей канал утечки конфиденциальной информации. Обозначим через C(LU), C(NU), C(CO) и С(РО) соответственно степени допуска пользователей LU и NU и метки конфиденциальности объектов СО и РО. Пусть C(LU) > C(NU). Теперь, если LU может записать в СО конфиденциальную информацию, должно выполняться условие C(NU) < C(LU) < С(СО). Для того чтобы содержащаяся в РО программная закладка могла прочитать информацию из СО и записать ее в РО, необходимо выполнение условие С(РО) > С(СО). Тогда С(РО) > C(NU) и нарушитель NU не имеет права на чтение информации из РО, что делает атаку данного вида бессмысленной.
Недостатки мандатного управления доступом к объектам КС:
сложность программной реализации, которая увеличивает
вероятность внесения ошибок и появления каналов утечки кон
фиденциальной информации;
снижение эффективности работы КС, так как проверка прав
доступа субъекта к объекту выполняется не только при открытии
объекта в процессе субъекта, но и перед выполнением любой опе
рации чтения из объекта или записи в объект;
создание дополнительных неудобств работе пользователей КС,
связанных с невозможностью изменения информации в некон
фиденциальном объекте, если тот же самый процесс использует
информацию из конфиденциального объекта (его уровень конфи
денциальности больше нуля).
Для устранения последнего недостатка необходимо разработать программное обеспечение КС с учетом особенностей мандатного управления доступом к объектам КС.
Из-за отмеченных недостатков мандатного управления доступом в реальных КС множество объектов, к которым применяется
мандатное управление, является подмножеством множества объектов, доступ к которым осуществляется на основе дискреционного управления.
В «Оранжевой книге» (см. подразд. 1.6) выделено два класса защищенности для КС, в которых реализовано дискреционное управление доступом к объектам КС (классы С1 и С2), и три класса, в которых должно быть реализовано мандатное управление доступом к объектам КС (классы Bl, B2 и ВЗ).
Для класса защищенности КС С1 требуется определить права доступа между поименованными объектами и субъектами (пользователями или группами); для класса С2 — разграничить доступ с определением прав для каждого отдельного пользователя КС.
Для класса защищенности КС В2 по сравнению с В1 требуется обеспечить уведомление каждого работающего пользователя о любых изменениях его степени допуска и возможность запроса пользователем КС полной информации о его степени допуска и ее изменениях. В классе ВЗ не предъявляется дополнительных требований в области мандатного управления доступом к объектам КС.
В руководящих документах Гостехкомиссии России (см. подразд. 1.6) для АС класса защищенности 1Г должно быть обеспечено дискреционное управление доступом к объектам КС, а начиная с класса 1В — мандатное управление доступом к объектам КС.
3.3. Подсистема безопасности защищенных версий операционной системы Windows
К защищенным версиям операционной системы Windows относятся Windows NT/2000/XP Professional. В состав этих операционных систем входит подсистема безопасности, архитектура которой представлена на рис. 3.8.
Ядром подсистемы безопасности является локальная служба безопасности (Local Security Authority, LSA), размещающаяся в файле lsass.exe. После загрузки операционной системы автоматически запускается процесс входа (winlogon.exe), который остается активным до перезагрузки операционной системы или выключения питания компьютера, а его аварийное завершение приводит к аварийному завершению всей операционной системы. Этим обеспечивается практическая невозможность подмены процесса входа при функционировании системы.
После нажатия пользователем комбинации клавиш Ctrl+Alt+ +Delete процесс входа обращается к провайдеру аутентификации (динамически компонуемой библиотеке функций, DLL) для приема от пользователя его логического имени (ID) и аутентифици-рующей информации (Р). Стандартный провайдер аутентификации размещается в файле msgina.dll и в качестве аутентифициру-